Das wirkliche Ende von SHA-1 steht vor der Tür

(29. 12. 2015) Das Ende des SHA-1-Alghoritmus in den SSL-Zertifikaten wird schon seit dem Jahre 2011 besprochen. Nun kommt es zu ihm in Wirklichkeit und deshalb möchten wir Ihnen die wichtigsten Informationen in Erinnerung bringen.

Ab 1. 1. 2016 kann ein SHA-1-Zertifikat nicht ausgestellt werden

Zusammen mit diesem Jahr endet auch die Möglichkeit, ein Zertifikat mit einer SHA-1-Signatur zu erwerben. Wir empfehlen Ihnen, vor dem letzten diesjährigen Tag Ihre Server noch einmal zu überprüfen, damit Sie eine unangenehme Überraschung nicht erleben müssen.

Falls Sie Ihr bestehendes SHA-1-Zertifikat verlängern möchten, haben Sie dafür Zeit nur bis das Jahresende – die Gültigkeitsdauer des neuen Zertifikats wird dann 12 Monate betragen.

Die Frist für die Ausstellung mit SHA-1 wird für normale Benutzer bestimmt nicht verlängert. Eventuelle Ausnahmen werden nur Facebook oder Cloudflare betreffen.

Ende der Unterstützung in Browsern

Da den Browsern an der Sicherheit ihrer Benutzer liegt, bemühen sie sich um eine Restriktion von den SHA-1-Zertifikaten und schwachen Verschlüsselungen. Die größten Browser-Hersteller reagieren auf die endende Unterstützung von SHA-1 folgendermaßen:

  • Chrome in der Version 48 wird einen Zertifikatsfehler anzeigen, wenn das Zertifikat:
    1. mit SHA-1 signiert worden ist
    2. am 1. 1. 2016 oder später ausgestellt worden ist
    3. von einer öffentlichen CA herausgegeben worden ist
    Chrome wird auch RC4-Codier Suiten nicht mehr unterstützen. Das vollkommene Ende der Unterstützung von SHA-1 wird am 1. 1. 2017 erfolgen.

  • Microsoft hat vor, SHA-1 in seinen Produkten ab dem Jahre 2017 zu blockieren, erwägt aber auch, den Termin auf Mitte des nächsten Jahres zu ändern. Ebenfalls beendet der Hersteller die Unterstützung von RC4 im Internet Explorer im Windows 7, 8.1 und 10 (in EDGE wurde diese Maßnahme bereits getroffen).

  • Mozilla wird in Firefox alle Verbindungen mit SHA-1-Zertifikaten ab 1. 1. 2017 als „Untrusted connection“ einstufen. Dieselbe Fehlermeldung wird der Browser bei den Zertifikaten anzeigen, die nach 1. 1. 2016 ausgestellt worden sind. Diese Meldung kann in Firefox 43 nicht behoben werden.

    RC4 wird von dem Browser in Firefox 44 blockiert; diese Version sollte Ende Januar herausgegeben werden.

  • Gleich wie Microsoft überlegt Mozilla die Möglichkeit, die Unterstützung von SHA-1 schon im Jahre 2016 zu beenden.

Beim SSLmarket können Sie Ihr Zertifikat jederzeit kostenlos upgraden

Eine Verlängerung oder Neuausstellung des Zertifikats (mit SHA-2) können Sie zu jeder Zeit und automatisch auf Ihrem Kundenkonto beantragen. Bei aufkommenden Fragen steht Ihnen natürlich unser Kundenservice gerne zur Verfügung.

Archiv der Neuigkeiten